14Sep
I prosessen med å filtrere Internett-trafikk har alle brannmurer noen form for loggfunksjon som dokumenterer hvordan brannmuren håndterer ulike typer trafikk. Disse loggene kan gi verdifull informasjon som kilde- og destinasjons-IP-adresser, portnumre og protokoller. Du kan også bruke loggfilen for Windows-brannmur til å overvåke TCP- og UDP-tilkoblinger og pakker som er blokkert av brannmuren.
Hvorfor og når brannmurlogging er nyttig - Hvis du vil kontrollere om nylige brannmurregler fungerer, eller for å feilsøke dem hvis de ikke fungerer som forventet.
- Hvis du vil avgjøre om Windows-brannmur er årsaken til programfeil - Ved hjelp av funksjonen for brannmurlogging kan du sjekke om deaktiverte portåpninger, dynamiske portåpninger, analyserer falt pakker med push og presserende flagg og analyser falt pakker på sendingsbanen.
- Å hjelpe og identifisere skadelig aktivitet - Ved hjelp av brannmurloggfunksjonen kan du sjekke om skadelig aktivitet forekommer i nettverket ditt eller ikke, selv om du må huske det ikke gir informasjonen som trengs for å spore opp kilden til aktiviteten.
- Hvis du oppdager gjentatte mislykkede forsøk på å få tilgang til brannmuren og / eller andre høyprofilerte systemer fra en IP-adresse( eller en gruppe IP-adresser), vil du kanskje skrive en regel for å slette alle tilkoblinger fra det IP-området( sørg for atIP-adressen blir ikke spoofed).
- Utgående tilkoblinger som kommer fra interne servere som webservere kan være en indikasjon på at noen bruker systemet ditt til å starte angrep mot datamaskiner som ligger på andre nettverk.
Slik genererer du loggfilen
Som standard er loggfilen deaktivert, noe som betyr at ingen informasjon er skrevet til loggfilen. For å opprette en loggfil trykk "Win key + R" for å åpne Run-boksen. Skriv "wf.msc" og trykk Enter. Skjermbildet "Windows Brannmur med avansert sikkerhet" vises. På høyre side av skjermen klikker du på "Egenskaper".
En ny dialogboks vises. Klikk nå på "Privat profil" -fanen og velg "Tilpass" i "Loggingsseksjonen."
Et nytt vindu åpnes, og fra det skjermbildet velger du maksimal loggstørrelse, plassering, og om du bare logger på pakketap, vellykket tilkobling eller begge deler. En tapt pakke er en pakke som Windows-brannmur har blokkert. En vellykket forbindelse refererer både til innkommende tilkoblinger og til enhver forbindelse du har gjort over Internett, men det betyr ikke alltid at en inntrenger har koblet seg til datamaskinen din.
Som standard skriver Windows-brannmur oppføringer til% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log og lagrer bare de siste 4 MB dataene. I de fleste produksjonsmiljøer vil denne loggen kontinuerlig skrive til harddisken din, og hvis du endrer størrelsesgrensen for loggfilen( for å logge aktivitet over en lengre periode), kan det føre til en ytelsespåvirkning. Av denne grunn bør du bare aktivere logging når du aktivt feilsøker et problem og deretter deaktivere logging umiddelbart når du er ferdig.
Klikk deretter kategorien "Offentlig profil" og gjenta de samme trinnene du gjorde for "Privat profil" -fanen. Du har nå slått på loggen for både private og offentlige nettverkstilkoblinger. Logfilen vil bli opprettet i et W3C utvidet loggformat( .log) som du kan undersøke med et tekstredigeringsprogram etter eget valg, eller importere dem til et regneark. En enkelt loggfil kan inneholde tusenvis av tekstoppføringer, så hvis du leser dem gjennom Notisblokk, må du deaktivere ordpakke for å bevare kolonnformatering. Hvis du ser loggfilen i et regneark, vises alle felter logisk i kolonner for enklere analyse.
På hovedskjermbildet "Windows-brannmur med avansert sikkerhet", rull ned til du ser koblingen "Overvåking".I detaljruten, under "Logg innstillinger", klikker du på filbanen ved siden av "Filnavn". Loggen åpnes i Notisblokk.
Tolke Windows-brannmuren logg
Sikkerhetsloggen for Windows-brannmuren inneholder to seksjoner. Overskriften gir statisk, beskrivende informasjon om versjonen av loggen og feltene som er tilgjengelige. Kroppen til loggen er de samlede dataene som er skrevet inn som et resultat av trafikk som prøver å krysse brannmuren. Det er en dynamisk liste, og nye oppføringer vises fortsatt nederst i loggen. Feltene er skrevet fra venstre til høyre over siden.(-) brukes når det ikke er noen oppføring tilgjengelig for feltet.
Ifølge Microsoft Technet-dokumentasjonen inneholder overskriften til loggfilen:
Versjon - Viser hvilken versjon av sikkerhetsloggen som er installert i Windows-brannmuren.
Software - Viser navnet på programvaren som lager loggen.
Tid - Indikerer at all tidsstempelinformasjon i loggen er i lokal tid.
-felt - Viser en liste over felt som er tilgjengelige for sikkerhetsloggoppføringer, hvis data er tilgjengelig.
Mens kroppens loggfil inneholder:
dato - Datafeltet identifiserer datoen i formatet ÅÅÅÅ-MM-DD.
tid - Den lokale tiden vises i loggfilen ved hjelp av formatet HH: MM: SS.Timene er referert i 24-timers format.
-handling - Når brannmuren behandler trafikk, registreres visse handlinger. De loggede handlingene er DROP for å slippe en tilkobling, ÅPNE for å åpne en tilkobling, LUKK for å lukke en tilkobling, ÅPEN-INBOUND for en innkommende økt som er åpnet for den lokale datamaskinen, og INFO-EVENTS-LOST for hendelser behandlet av Windows-brannmuren, menble ikke registrert i sikkerhetsloggen.
protokoll - protokollen brukes som TCP, UDP eller ICMP.
src-ip - Viser kilde-IP-adressen( IP-adressen til datamaskinen som forsøker å etablere kommunikasjon).
dst-ip - Viser destinasjons-IP-adressen til et tilkoblingsforsøk.
src-port - Portnummeret på sendingsdatamaskinen der forbindelsen ble forsøkt.
dst-port - Porten som sendingsdatamaskinen forsøkte å koble til.
-størrelse - Viser pakkestørrelsen i byte.
tcpflags - Informasjon om TCP kontroll flagg i TCP headers.
tcpsyn - Viser TCP-sekvensnummeret i pakken.
tcpack - Viser TCP-bekreftelsesnummeret i pakken.
tcpwin - Viser TCP-vinduets størrelse, i byte, i pakken.
icmptype - Informasjon om ICMP-meldingene.
icmpcode - Informasjon om ICMP-meldingene.
info - Viser en oppføring som avhenger av hvilken type handling som skjedde.
-sti - Viser retningen for kommunikasjonen. Alternativene som er tilgjengelige, er SEND, MOTTAG, FREM, OG UNYTTET.
Som du legger merke til, er logginngangen virkelig stor og kan ha opptil 17 deler av informasjon knyttet til hver hendelse. Imidlertid er bare de første åtte delene av informasjon viktig for generell analyse. Med detaljene i hånden din kan du nå analysere informasjonen for skadelig aktivitet eller feilsøke programfeil.
Hvis du mistenker noe ondsinnet aktivitet, åpner du loggfilen i Notisblokk og filtrerer alle loggpostene med DROP i handlingsfeltet og merker om IP-adressen til slutt endes med et annet tall enn 255. Hvis du finner mange slike oppføringer, såLegg merke til destinasjonens IP-adresser for pakkene. Når du er ferdig med å feilsøke problemet, kan du deaktivere brannmurloggen.
Feilsøking av nettverksproblemer kan være ganske skremmende til tider og en anbefalt god praksis når feilsøking av Windows-brannmur er å aktivere de innfødte loggene. Selv om loggfilen for Windows-brannmur ikke er nyttig for å analysere den generelle sikkerheten til nettverket, er det fortsatt en god praksis hvis du vil overvåke hva som skjer bak kulissene.